BIND 8+ 域名服务器安全增强 zt

p;
}; 


---[[ 实施DNSSec功能 ]]------------------------------------------------- 

说实在的，我一直在考虑需不需要在目前的版本中实施DNSSec功能。因为虽然ISC 
早已在BIND 8.1.x版本后增加了DNSSec的实现，但实际的应用却不常见，而且去年 
公布的NXT远程安全漏洞和DNSSec有关（实际上NXT就属于DNSSec实现的功能之一）。 
最后我决定在本文不讨论如何实施DNSSec安全功能。 
但不可否认，DNSSec确实是一项很好的安全技术，它通过加密DNS数据来提高了DNS 
服务的安全性。主加密密钥用于对第一级域名的加密密钥进行加密签字，第一级域 
名(.com, .cn等)密钥用于对自身数据及其子域名密钥进行加密签名，以此类推。 
例如，nsfocus.com的域名服务器由.com域密钥签名，nsfocus.com域密钥则用于对 
www.nsfocus.com域名进行加密签名。 


---[[ 实现BIND的chroot ]]--------------- 

（以FreeBSD系统平台为例） 

步骤一：BIND-8的最新源代码版本获取和安装 

    请到ISC FTP站点下载BIND的最新版本。  it55.com
    BIND 8：http://www.isc.org/products/BIND/bind8.html 
    BIND 9：http://www.isc.org/products/BIND/bind9.html 

步骤二：构造静态(static)的named和named-xfer二进制文件 

    在编译和安装后，你需要构造可执行文件的静态链接版本。只要对%BIND%/src 
/port/freebsd目录下的Makefile.set文件稍加修改后即可。 
　　修改文件内容： 

'CDEBUG= -O2 -g' 

替换为： 

'CDEBUG= -O2 -static' 

    切换到BIND的源代码路径，执行"make clean"和"make"命令。在下面的步骤中 
将会把这些文件复制到chroot()目录下。 

# cd /tmp/bind/src 
# make clean ; make 

    本步骤构造的静态链接执行文件在运行时无需装载动态链接库。在chroot()环 
境中，这种“独立”可执行文件可避免出现缺少链接库文件问题。它在chroot()环  免费矢量图片素材下载http://www.it55.com
境中无需任何静态链接库，可使服务配置简单化。其它所有的网络守护进程也可以 
编译和使用这种静态链接版本。 


步骤三：构造BIND目录 

    为chroot()环境构造BIND目录。这个目录将在chroot()环境中被BIND当作系统 
    根目录。在这里我使用/chroot/bind作为chroot后的根目录。 

# cd /chroot/bind 
# mkdir /chroot 
# mkdir /chroot/dev 
# mkdir /chroot/etc 
# mkdir /chroot/etc/namedb 
# mkdir /chroot/usr 
# mkdir /chroot/usr/sbin 
# mkdir /chroot/var 
# mkdir /chroot/var/run 

　　需要复制以下文件到其下的相应子目录中，和进行一些必要的处理： 

# cp /etc/namedb/named.conf /chroot/bind/etc/ 
# cp /etc/localtime /chroot/bind/etc/ 
# grep bind /etc/group > /chroot/bind/etc/group  http://www.it55.com
# cp -R /etc/namedb/ /chroot/bind/etc/namedb/ 
# mknod /chroot/bind/dev/null c 2 2 
# chmod 666 /chroot/bin/dev/null 
# cp /tmp/bind/src/bin/named/named /chroot/bind/usr/sbin/ 
# cp /tmp/bind/src/bin/named-xfer/named-xfer /chroot/bind/ 

 &nbs

（编辑：IT资讯之家 www.it55.com）